El más reciente Informe de Amenazas 2013 reporta que México es el noveno país que más ataques sufre a escala mundial y uno de los principales destinos para hospedar malware. ¿Cuáles son las principales amenazas a la seguridad de la información que enfrenta un CIO o un CSO en nuestro país? ¿Qué estrategias emplean?
Un grupo de CIOs de empresas mexicanas compartieron sus experiencias y recomendaciones en torno a estos temas al participar en la mesa redonda “Cómo el cibercrimen está eludiendo el modelo de seguridad tradicional”, organizada por CIO México y la empresa Websense.
Francisco Javier Alfaro, Director Corporativo de Sistemas de la empresa de seguros Zurich de México, consideró que la principal preocupación de un CIO es el descuido de los usuarios, quienes no resguardan la información sensible que hay en la empresa. Dijo que esto es crítico, ya que “un 75% de la información sensible que se maneja en el sector de seguros se le puede emplear para hacer negocios”.
De ahí la importancia de “adoptar la seguridad dentro de la empresa”, ya que esta frase se traduce en un compromiso por parte del usuario para trabajar en equipo, señaló Luis Ernesto Rojas, Gerente de Infraestructura de ICA.
Para Jorge Sánchez, IT Manager de Sherwin-Williams, “resulta difícil unificar los criterios para identificar la información sensible de manera genérica”, por lo que recomendó hacerlo de manera particular.
Los nuevos retos
Los participantes en la mesa reconocieron que las nuevas tendencias como Bring Your Own Device (BYOD), la movilidad o la nube, si bien promueven la productividad, también abren la puerta a nuevas amenazas. ¿Cómo enfrentan ellos este problema?
Andrés Felipe Robledo, Gerente de TI de Qualamex, empresa de origen colombiano que comercializa una variedad de productos que van desde bebidas en polvo, hasta gelatinas y shampoos (Savilé y Ego), explicó que por algún tiempo su área se enfocó en sensibilizar a los empleados para concientizarlos sobre la importancia de proteger la información. Sin embargo, los resultados no fueron los esperados debido a la alta rotación de personal que hay en México. Se optó entonces por clasificar la información sensible y delimitar el acceso a ésta basado en perfiles de cada área. “También pusimos énfasis en la seguridad física, ya que se trató de una estrategia con muchos frentes”.
Sin embargo, lo que ha dado mejores resultados, según Robledo, fue la conformación de comités en cada área de la empresa, los cuales se reúnen cada tres meses para tomar acciones que protejan la información. Esta es una labor continua y participativa, dijo, porque se deben afrontar nuevos retos. “No hay forma de parar el uso cada vez mayor de los dispositivos móviles”, además, “se vuelve difícil delimitar la información personal y la corporativa”.
En eso coincidió Juan Manuel Zenil, Director de TIC de la Escuela Bancaria y Comercial, quien compartió con la audiencia lo ocurrido en esta institución. “Durante un tiempo, el Google Drive lo tuvimos bloqueado por cuestiones de confidencialidad”. Sin embargo, nos dimos cuenta que ante nuestra acción, los usuarios optaron por emplear (el servicio de almacenamiento gratuito en la nube) DropBox, y que había unas 300 aplicaciones conectadas al Google Drive”.
Tales aplicaciones fueron bloqueadas, a excepción de 3 o 4 que en realidad ofrecían un valor para la institución. “Esta experiencia nos enseñó que, más que imponer barreras y controles, conviene más capacitar a nuestros usuarios”, dijo Zenil.
Al respecto, José Luis Muñoz, Director de TI de DHL Global Forwarding México, señaló que en materia de seguridad de la información “podemos ser flexibles, pero las políticas que establezca el área de TI deben ser muy claras”.
Por su parte, Hugo Carlos Ortega, de CMI Grupo, resaltó la importancia de implementar cursos de inducción para sensibilizar al personal sobre la importancia que tiene el resguardo de la información. “No hay que olvidar que el mayor ‘enemigo’ puede no estar afuera, sin dentro de casa”.